CVE-2026-41268

Name of the Vulnerable Software and Affected Versions Flowise versões anteriores a 3.1.0

Description Flowise é uma interface de usuário drag and drop para a construção de fluxos de modelos de linguagem de grande escala personalizados. Existe um problema de execução remota de comando não autenticado onde um bypass de substituição de parâmetro pode ser alcançado usando a palavra-chave 'FILE-STORAGE::' combinada com a injeção de uma variável de ambiente NODE OPTIONS. Isso permite que um invasor execute comandos de sistema arbitrários com privilégios de root dentro da instância conteinerizada por meio de uma única requisição HTTP, sem a necessidade de autenticação.

Recommendations Atualizar para a versão 3.1.0.